Незаконное использование и раскрытие личной информации в Китае может повлечь за собой административные санкции, а также уголовную ответственность.

Закон о защите персональных данных (PIPL), Спецификация по защите персональных данных (Спецификация) и Руководство по защите персональных данных в Интернете (Руководство) были приняты 1 ноября 2021 года, 6 марта 2020 года и 10 апреля 2019 года соответственно. Они формируют правовую основу, регулирующую использование и раскрытие персональных данных в Китае.

В первую очередь компании, собирающие данные о физических лицах (расположенных в Китае), должны принять меры по сокращению неэтичного раскрытия личной информации и защите пользователей.

Нарушения, связанные с персональными данными, могут быть серьёзными. В частности, Уголовный кодекс Китайской Народной Республики рассматривает незаконную продажу или предоставление персональных данных граждан как уголовное преступление. Согласно статье 253 Уголовного кодекса, за серьёзные нарушения нарушителям грозит максимальный срок лишения свободы до трёх лет. При особо серьёзных обстоятельствах срок лишения свободы составляет от трёх до семи лет.

Аналогичным образом, если компания совершит уголовное преступление, все непосредственно ответственные должностные лица или другие лица компании, несущие прямую ответственность, будут признаны виновными и подвергнуты соответствующим уголовным наказаниям. Поэтому компаниям следует применять строгие меры для регулирования использования и раскрытия персональной информации.

Ниже мы кратко излагаем, что можно и чего нельзя делать при использовании и раскрытии персональных данных компаниями, обрабатывающими их.

Раскрывайте персональные данные только в случае необходимости и в соответствии с законом или по обоснованным причинам.

Статья 1034 Гражданского кодекса определяет персональные данные как:

Персональные данные означают любую информацию, записанную в электронном виде или иным образом, которая может быть использована как отдельно, так и в сочетании с другой информацией для идентификации конкретного физического лица, включая имя, дату рождения, номер документа, удостоверяющего личность, биометрическую информацию, адрес, номер телефона, адрес электронной почты, информацию о состоянии здоровья или местонахождении физического лица.

В соответствии со Спецификацией персональные данные могут быть раскрыты только при соблюдении следующих условий:

  • Когда проводится оценка воздействия на безопасность
  • Когда получено согласие
  • Когда выполняются обязательства по ведению учета и хранению
  • При указании ограничений при раскрытии информации

Четко укажите характер раскрытия информации и получите согласие.

Компании, обрабатывающие персональные данные, называются обработчиками персональных данных. Обработчики обязаны получать согласие и раскрывать информацию об использовании профессиональной информации в соответствии с PIPL.

В частности, обработчики данных должны информировать лицо о следующих вопросах наглядным, ясным, простым для понимания языком, правдиво, точно и полно.

  • Организация или имя и контактная информация обработчика персональных данных;
  • Цель и способ обработки персональной информации, вид обрабатываемой персональной информации и срок ее хранения;
  • Способ и порядок осуществления лицом своих прав, предусмотренных настоящим Законом;
  • Любые другие вопросы, которые необходимо информировать в соответствии с требованиями закона или административных правил.

Любые изменения вышеуказанных пунктов должны быть доведены до сведения лица, предоставляющего персональные данные. У такого лица должна быть возможность отозвать свое согласие. В случае отзыва обработчики данных обязаны прекратить сбор или незамедлительно удалить собранную персональную информацию.

Аналогичным образом PIPL предусматривает следующие обстоятельства, при которых индивидуальное согласие не требуется.

  • В случае необходимости заключения или исполнения договора, стороной которого является физическое лицо, или в случае необходимости осуществления управления человеческими ресурсами в соответствии с законодательством установленной политикой занятости или законодательством заключенным коллективным договором;
  • В случае необходимости выполнения установленной законом ответственности или предусмотренного законом обязательства;
  • В случае необходимости реагирования на чрезвычайную ситуацию в области общественного здравоохранения или защиты жизни, здоровья или имущественной безопасности физического лица в случае чрезвычайной ситуации;
  • Если персональные данные обрабатываются в разумных пределах для осуществления новостных репортажей, контроля за общественным мнением или любой другой деятельности в целях обеспечения общественного интереса;
  • Если персональные данные, которые уже были раскрыты физическим лицом или иным образом законно раскрыты

Не пренебрегайте дополнительными мерами обработки конфиденциальной персональной информации

В отношении конфиденциальной персональной информации компании обязаны выполнять следующие действия:

  • защищать такие данные;
  • получить конкретное согласие на раскрытие информации и информировать лицо о необходимости и влиянии на его права и интересы.

К конфиденциальной личной информации относится следующее:

  • Религиозные убеждения;
  • Биометрия;
  • Конкретные идентичности, медицинские и оздоровительные;
  • Финансовые счета, местонахождение и другая информация физического лица;
  • Персональные данные несовершеннолетних в возрасте до четырнадцати лет

Однако следующая личная информация не подлежит разглашению:

  • Персональная биометрическая информация;
  • Генетическая, патологическая и другая личная физиологическая информация;
  • Результаты анализа расовой или этнической идентичности, политических взглядов, религиозных убеждений или других конфиденциальных персональных данных граждан Китая.

Принимайте строгие меры контроля

Руководство требует от компаний, обрабатывающих персональные данные, создания системы административного контроля для предотвращения несанкционированного раскрытия информации, такого как утечка или фальсификация. Системы контроля должны внедряться, проверяться и постоянно совершенствоваться для снижения рисков и косвенных нарушений. Кроме того, для обеспечения надёжности контроля необходимо внедрить следующие технические средства контроля.

  • Установление паролей и/или проверки для защиты целостности и конфиденциальности личной информации;
  • Принятие мер по выявлению, предотвращению и борьбе с угрозами в отношении систем обработки персональных данных;
  • Использование системы аутентификации для проверки личности пользователей, получающих доступ к системам обработки персональных данных; реализация и аудит контроля доступа; предотвращение и обнаружение вторжений вредоносного кода и вредоносных программ;
  • Обеспечение безопасности данных при аутентификации, контроле доступа и аудите; обеспечение целостности данных, конфиденциальности, доступности и безопасности.

Не пренебрегайте юридическими обязательствами

Спецификация часто служит руководством для правоохранительных органов по регулированию раскрытия персональной информации. Несоблюдение компаниями соответствующих правил и положений может повлечь за собой административную и уголовную ответственность.

Административная ответственность

Лицам, обрабатывающим персональные данные с нарушением PIPL или не выполняющим какие-либо обязательства по защите персональных данных, предусмотренные PIPL, при обработке персональных данных будет вынесено предписание об исправлении ситуации, вынесено предупреждение, а также конфискованы любые незаконные доходы. Информация о любых незаконных действиях будет внесена в кредитные досье и раскрыта общественности.

Гражданско-правовая ответственность

Нарушение конфиденциальности персональных данных, предусмотренное Законом о кибербезопасности, влечет за собой необходимость устранения нарушений и может повлечь за собой следующие санкции, как по отдельности, так и в совокупности, в зависимости от обстоятельств. Санкции включают предупреждение, конфискацию незаконно полученного дохода и штраф в размере от двукратного до десятикратного размера незаконно полученного дохода или штраф до 1 000 000 юаней, если организация не имеет незаконно полученного дохода, а также штраф в размере от 10 000 до 100 000 юаней на любых должностных лиц или других лиц организации, несущих непосредственную ответственность.

При серьезных обстоятельствах организации может быть приказано приостановить соответствующую операцию или бизнес для устранения нарушений, закрыть ее веб-сайт или отозвать соответствующее разрешение на ведение бизнеса или лицензию на ведение бизнеса.

Уголовная ответственность

Согласно статье 253 Уголовного закона, за серьёзные нарушения физическим лицам грозит лишение свободы на срок до трёх лет, а при особо серьёзных обстоятельствах – от трёх до семи лет. Аналогичным образом, если компания совершает уголовное преступление, все непосредственно ответственные должностные лица или другие лица компании, несущие непосредственную ответственность, подлежат осуждению и применению соответствующих уголовных санкций.

Заключение

Предприятиям, использующим и раскрывающим данные, следует адаптировать и адаптировать свои рабочие практики в соответствии с правовыми обязательствами. Понимание и мониторинг изменений в новых нормативных актах крайне важны для выполнения обязательств по их соблюдению. В Horizons мы разрабатываем системы обеспечения соответствия требованиям к данным для крупных и средних компаний в Китае.

Связаться с нами

Если у вас есть вопросы или опасения, связанные с использованием и раскрытием персональных данных , свяжитесь с нами по адресу talktous@horizons-advisory.com , чтобы запланировать консультацию. Horizons предоставит вам ценные знания, экспертизу и оптимальные решения.